stringtranslate.com

Группа уравнений

Группа Equation Group , классифицируемая как продвинутая постоянная угроза , представляет собой очень сложную угрозу , предположительно связанную с подразделением Tailored Access Operations (TAO) Агентства национальной безопасности США (АНБ). [1] [2] [3] «Лаборатория Касперского» описывает их как одну из самых изощренных групп кибератак в мире и «самую продвинутую (...) которую мы когда-либо видели», действующую вместе с создателями Stuxnet и Flame . [4] [5] Большинство их целей были в Иране , России , Пакистане , Афганистане , Индии , Сирии и Мали . [5]

Название произошло от широкого использования группой шифрования. К 2015 году «Лаборатория Касперского» зафиксировала 500 заражений вредоносным ПО , совершенных группой, по меньшей мере, в 42 странах, признавая при этом, что фактическое число может исчисляться десятками тысяч из-за протокола самозавершения. [5] [6]

В 2017 году WikiLeaks опубликовал дискуссию , проведенную в ЦРУ , о том, как удалось идентифицировать эту группу. [7] Один из комментаторов написал, что «группа Equation Group, обозначенная в отчете, относится не к конкретной группе, а скорее к набору инструментов», используемых для взлома. [8]

Открытие

На саммите аналитиков безопасности Касперского, проходившем в Мексике 16 февраля 2015 года, «Лаборатория Касперского» объявила об открытии Equation Group. Согласно отчету «Лаборатории Касперского», группа действует как минимум с 2001 года и насчитывает более 60 участников. [9] Вредоносное ПО, используемое в их деятельности, получившее названия EquationDrug и GrayFish, способно перепрограммировать прошивку жесткого диска . [4] Из-за применения передовых методов и высокой степени секретности группу подозревают в связях с АНБ, однако «Лаборатория Касперского» не выявила лиц, стоящих за этой группой.

Вероятные связи со Stuxnet и АНБ

В 2015 году в исследованиях Equation Group, проведенных Касперским, отмечалось, что ее загрузчик «GrayFish» имел сходство с ранее обнаруженным загрузчиком «Gauss» [репозиторием] из другой серии атак, и отдельно отмечалось, что Equation Group использовала два нулевых дня. атаки, позже использованные в Stuxnet ; исследователи пришли к выводу, что «сходный тип использования обоих эксплойтов вместе в разных компьютерных червях примерно в одно и то же время указывает на то, что группа EQUATION и разработчики Stuxnet либо одинаковы, либо тесно сотрудничают». [10] : 13 

Прошивка

Они также установили, что платформа время от времени распространялась путем запрета (перехвата законных компакт-дисков, отправленных организатором научной конференции по почте ), [10] : 15  , и что платформа обладала «беспрецедентной» способностью заражать и передаваться через встроенное ПО жестких дисков нескольких крупных производителей жестких дисков, а также создавать и использовать для своих целей скрытые области диска и виртуальные дисковые системы, что потребует доступа к исходному коду производителя , [10] : 16–18  и что инструмент был разработан с хирургической точностью, вплоть до исключения определенных стран по IP и разрешения таргетинга на определенные имена пользователей на дискуссионных форумах . [10] : 23–26 

Кодовые слова и временные метки

Внутри вредоносного ПО были обнаружены кодовые слова АНБ «STRAITACID» и «STRAITSHOOTER». Кроме того, временные метки во вредоносном ПО, похоже, указывают на то, что программисты работали в основном с понедельника по пятницу, что соответствует рабочему дню с 08:00 до 17:00 (8:00–17:00) в часовом поясе восточной части США. . [11]

Эксплойт LNK

Глобальная группа исследований и анализа Касперского, также известная как GReAT, заявила, что в 2008 году обнаружила вредоносное ПО, содержащее «privLib» Stuxnet. [12] В частности, оно содержало эксплойт LNK, обнаруженный в Stuxnet в 2010 году. Fanny классифицируется как червь. Это затрагивает некоторые операционные системы Windows и пытается распространиться через сетевое соединение или USB-накопитель . [репозиторий] Касперский заявил, что они подозревают, что Equation Group существует дольше, чем Stuxnet, основываясь на записанном времени компиляции Fanny. [4]

Ссылка на IRATEMONK

Список АНБ программы Tailored Access Operations под названием IRATEMONK из каталога АНБ ANT .

F-Secure утверждает, что вредоносная прошивка жесткого диска, разработанная Equation Group, представляет собой программу TAO «IRATEMONK», [13] один из элементов каталога ANT АНБ, опубликованного в статье Der Spiegel за 2013 год . IRATEMONK предоставляет злоумышленнику возможность постоянно устанавливать свое программное приложение на настольные и портативные компьютеры, несмотря на форматирование диска , удаление данных или переустановку операционной системы. Он заражает прошивку жесткого диска, которая, в свою очередь, добавляет инструкции в главную загрузочную запись диска , что приводит к установке программного обеспечения при каждой загрузке компьютера . [14] Он способен заражать некоторые жесткие диски компаний Seagate , Maxtor , Western Digital , Samsung , [14] IBM , Micron Technology и Toshiba . [4]

Нарушение Equation Group в 2016 г.

В августе 2016 года хакерская группа, называющая себя The Shadow Brokers , объявила, что украла вредоносный код у Equation Group. [15] «Лаборатория Касперского» заметила сходство между украденным кодом и ранее известным кодом из имеющихся у нее образцов вредоносного ПО Equation Group, включая особенности, уникальные для способа реализации Equation Group алгоритма шифрования RC6 , и поэтому пришла к выводу, что это объявление является законным. [16] Самые последние даты украденных файлов относятся к июню 2013 года, что побудило Эдварда Сноудена предположить, что вероятная изоляция, вызванная его утечкой информации о глобальных и внутренних усилиях АНБ по наблюдению, остановила взлом The Shadow Brokers Equation Group. Эксплойты против устройств Cisco Adaptive Security Appliance и межсетевых экранов Fortinet были описаны в некоторых образцах вредоносного ПО, выпущенных The Shadow Brokers. [17] EXTRABACON, эксплойт Simple Network Management Protocol против программного обеспечения Cisco ASA, на момент объявления был эксплойтом нулевого дня . [17] Компания Juniper также подтвердила, что ее брандмауэры NetScreen были затронуты. [18] Эксплойт EternalBlue использовался для проведения разрушительной всемирной атаки программы-вымогателя WannaCry .

Смотрите также

Рекомендации

  1. Фокс-Брюстер, Томас (16 февраля 2015 г.). «Уравнение = АНБ? Исследователи раскрывают огромный« американский киберарсенал »». Форбс . Проверено 24 ноября 2015 г.
  2. Менн, Джозеф (17 февраля 2015 г.). «Российские исследователи разоблачают прорывную шпионскую программу США». Рейтер . Проверено 24 ноября 2015 г.
  3. ^ «Документы Сноудена взломали АНБ» . Перехват . 19 августа 2016 года . Проверено 19 августа 2016 г.
  4. ^ abcd GReAT (16 февраля 2015 г.). «Уравнение: Звезда Смерти галактики вредоносных программ». Securelist.com . Лаборатория Касперского . Проверено 16 августа 2016 г. SecureList , Костин Райу (директор глобальной исследовательской и аналитической группы «Лаборатории Касперского»): «Мне кажется, что у Equation Group самые крутые игрушки. Время от времени они делятся ими с группой Stuxnet и группой Flame, но они изначально доступен только людям из Equation Group. Equation Group определенно мастера, и они дают остальным, может быть, хлебные крошки. Время от времени они дают им какие-нибудь вкусности для интеграции в Stuxnet и Flame».
  5. ^ abc Гудин, Дэн (16 февраля 2015 г.). «Как «всемогущие» хакеры, связанные с АНБ, прятались 14 лет — и наконец были найдены». Арс Техника . Проверено 24 ноября 2015 г.
  6. Кирк, Джереми (17 февраля 2015 г.). «Уничтожение вашего жесткого диска — единственный способ остановить эту сверхсовременную вредоносную программу». ПКМир . Проверено 24 ноября 2015 г.
  7. Гудин, Дэн (7 марта 2017 г.). «После разоблачения взлома АНБ сотрудники ЦРУ спросили, в чем ошибка Equation Group». Арс Техника . Проверено 21 марта 2017 г.
  8. ^ «Что уравнение сделало не так и как нам избежать того же?» Убежище 7 . Викиликс . Проверено 21 марта 2017 г.
  9. ^ «Группа уравнений: главный создатель кибершпионажа». Лаборатория Касперского . 16 февраля 2015 года . Проверено 24 ноября 2015 г.
  10. ^ abcd «Группа уравнений: вопросы и ответы (версия: 1.5)» (PDF) . Лаборатория Касперского . Февраль 2015 г. Архивировано из оригинала (PDF) 17 февраля 2015 г. Проверено 24 ноября 2015 г.
  11. Гудин, Дэн (11 марта 2015 г.). «Новый дымящийся пистолет еще больше связывает АНБ со всемогущими хакерами Equation Group». Арс Техника . Проверено 24 ноября 2015 г.
  12. ^ «Уравнение Фанни: «Я твой отец, Stuxnet»» . Лаборатория Касперского. 17 февраля 2015 года . Проверено 24 ноября 2015 г.
  13. ^ «Группа уравнений равна АНБ / IRATEMONK» . Блог F-Secure : Новости из лаборатории . 17 февраля 2015 года . Проверено 24 ноября 2015 г.
  14. ↑ Аб Шнайер, Брюс (31 января 2014 г.). «IRATEMONK: подвиг дня АНБ». Шнайер по безопасности . Проверено 24 ноября 2015 г.
  15. Гудин, Дэн (15 августа 2016 г.). «Группа утверждает, что взломала хакеров, связанных с АНБ, и публикует эксплойты в качестве доказательства». Арс Техника . Проверено 19 августа 2016 г.
  16. Гудин, Дэн (16 августа 2016 г.). «Подтверждено: утечка хакерского инструмента произошла от «всемогущей» группы, связанной с АНБ». Арс Техника . Проверено 19 августа 2016 г.
  17. ↑ Аб Томсон, Иэн (17 августа 2016 г.). «Cisco подтверждает, что две уязвимости АНБ Shadow Brokers реальны». Регистр . Проверено 19 августа 2016 г.
  18. Паули, Даррен (24 августа 2016 г.). «Эксплойт Equation Group поражает новую Cisco ASA, Juniper Netscreen». Регистр . Проверено 30 августа 2016 г.

Внешние ссылки

Викискладе есть медиафайлы, связанные с Equation Group .